Хакеры используют уязвимость RCE в Veeam для распространения нового программного обеспечения-вымогателя «Frag»

Хакеры активно используют критическую уязвимость в программном обеспечении Veeam Backup & Replication для распространения нового программного вируса-вымогателя под названием «Frag».

Эта уязвимость, зарегистрированная как CVE-2024-40711, позволяет удаленное выполнение кода без аутентификации. Оценка уязвимости по шкале CVSS составляет 9.8 из 10, что указывает на высокий уровень риска.

Исследователи Sophos X-Ops сообщили, что эти атаки являются частью угрозы, которую они назвали STAC 5881. Нападающие получили первоначальный доступ через скомпрометированные VPN-устройства, а затем использовали уязвимость в Veeam для создания учетных записей администратора.

Эта критическая уязвимость затрагивает версии Veeam Backup & Replication до 12.1.2.172. Veeam, популярное решение для резервного копирования, используемое более чем 550 000 клиентами, включая 74% компаний из списка Global 2000, выпустило патчи безопасности для устранения уязвимости в начале сентября 2024 года.

Ранее группа STAC 5881 использовала версии программ-вымогателей Akira и Fog. Однако в одном из недавних инцидентов исследователи Sophos обнаружили использование нового, ранее не задокументированного вируса-вымогателя Frag. Этот вирус выполняется через командную строку и добавляет расширение «.frag» к зашифрованным файлам.

Шон Галлахер, главный исследователь угроз в Sophos X-Ops, отметил, что, как и в предыдущих случаях, хакеры использовали скомпрометированное VPN-устройство для доступа и использовали уязвимость Veeam для создания новой учетной записи «point». В этом случае была создана также учетная запись «point2».

Frag работает аналогично Akira и Fog, что может свидетельствовать о том, что новая группа использует уже известные тактики.

Использование уязвимости в Veeam продолжает тенденцию, когда хакеры нацеливаются на решения для резервного копирования с целью усилить воздействие своих атак-вымогателей. Используя скомпрометированные системы резервного копирования, хакеры затрудняют восстановление данных жертв без уплаты выкупа.

Эксперты по кибербезопасности настоятельно рекомендуют организациям, использующим Veeam Backup & Replication, немедленно установить последние обновления безопасности. Кроме того, они советуют изолировать серверы резервного копирования от Интернета, использовать многофакторную аутентификацию для доступа к управлению и усиливать мониторинг для обнаружения необычной активности.

Появление новых вариантов программ-вымогателей, таких как Frag, подчеркивает необходимость укрепления мер кибербезопасности и своевременного устранения известных уязвимостей.

Перейти к содержимому